Multilingua
Sphos commenta la multa Zoetop analizzando rischi e buone prassi da seguire
Tempo di lettura: 5 minuti. Il marchio di moda SHEIN multato di 1,9 milioni di dollari per aver mentito sulla violazione dei dati personali
La società cinese Zoetop, ex proprietaria dei popolarissimi marchi di “fast fashion” SHEIN e ROMWE, è stata multata dallo Stato di New York per 1.900.000 dollari. Come ha detto il procuratore generale Letitia James in una dichiarazione della scorsa settimana: Le deboli misure di sicurezza digitale di SHEIN e ROMWE hanno permesso agli hacker di rubare facilmente i dati personali dei consumatori. Come se ciò non fosse già abbastanza grave, la James ha proseguito affermando che: [I dati personali sono stati rubati e Zoetop ha cercato di insabbiare il tutto. Non proteggere i dati personali dei consumatori e mentire su questo non è di moda. SHEIN e ROMWE devono rafforzare le loro misure di sicurezza informatica per proteggere i consumatori da frodi e furti di identità. Francamente, siamo sorpresi che Zoetop (ora SHEIN Distribution Corporation negli Stati Uniti) se la sia cavata così bene, considerando le dimensioni, la ricchezza e la potenza del marchio dell’azienda, la sua apparente mancanza di precauzioni anche basilari che avrebbero potuto prevenire o ridurre il pericolo rappresentato dalla violazione e la sua continua disonestà nel gestire la violazione dopo che è stata resa nota.
La violazione scoperta da estranei
Secondo l’Ufficio del Procuratore generale di New York, Zoetop non si è nemmeno accorta da sola della violazione, avvenuta nel giugno 2018. Invece, il processore di pagamenti di Zoetop ha scoperto che l’azienda era stata violata, a seguito di segnalazioni di frode provenienti da due fonti: una società di carte di credito e una banca. La società di carte di credito si è imbattuta nei dati delle carte dei clienti di SHEIN in vendita su un forum clandestino, suggerendo che i dati erano stati acquisiti in blocco dall’azienda stessa o da uno dei suoi partner informatici. La banca ha identificato SHEIN (che si pronuncia “she in”, se non l’aveste ancora capito, e non “shine”) come il cosiddetto CPP nelle cronologie di pagamento di numerosi clienti frodati. CPP è l’abbreviazione di common point of purchase (punto di acquisto comune) e significa esattamente quello che dice: se 100 clienti segnalano indipendentemente una frode sulle loro carte, e se l’unico commerciante comune presso il quale tutti e 100 i clienti hanno recentemente effettuato pagamenti è la società X allora si ha una prova circostanziale che X è una probabile causa dell'”epidemia di frode”, nello stesso modo in cui l’epidemiologo britannico John Snow, che ha fatto scuola, ha ricondotto un’epidemia di colera a Londra nel 1854 a una pompa d’acqua inquinata in Broad Street, a Soho. Il lavoro di Snow ha contribuito a respingere l’idea che le malattie si diffondessero semplicemente attraverso l’aria viziata; ha stabilito la “teoria dei germi” come realtà medica e ha rivoluzionato il pensiero sulla salute pubblica. Ha anche mostrato come la misurazione e i test oggettivi potessero aiutare a collegare cause ed effetti, assicurando così che i futuri ricercatori non perdessero tempo a trovare spiegazioni impossibili e a cercare “soluzioni” inutili.
Non ha preso precauzioni
Non sorprende che l’azienda abbia scoperto la violazione di seconda mano, ma l’indagine di New York l’ha criticata per non essersi preoccupata di monitorare la sicurezza informatica, dato che “non ha eseguito scansioni regolari delle vulnerabilità esterne né ha monitorato o esaminato regolarmente i registri di audit per identificare gli incidenti di sicurezza”.
L’indagine ha anche riportato che Zoetop:
ha eseguito l’hashing delle password degli utenti in un modo considerato troppo facile da decifrare. A quanto pare, l’hashing delle password consisteva nel combinare la password dell’utente con un sale casuale a due cifre, seguito da un’iterazione di MD5. Secondo quanto riportato dagli appassionati di cracking di password, all’epoca un impianto di cracking standalone con 8 GPU e hardware del 2016 era in grado di eseguire 200.000.000.000 di MD5 al secondo (il sale di solito non aggiunge altro tempo di calcolo). Ciò equivale a provare quasi 20 quadrilioni di password al giorno utilizzando un solo computer speciale. (I tassi di cracking MD5 di oggi sono apparentemente da cinque a dieci volte più veloci di questo, utilizzando schede grafiche recenti). Registrava i dati in modo sconsiderato. Per le transazioni in cui si verificava un qualche tipo di errore, Zoetop salvava l’intera transazione in un registro di debug, includendo apparentemente tutti i dettagli della carta di credito (presumiamo che questo includa il codice di sicurezza, oltre al numero lungo e alla data di scadenza). Ma anche dopo aver saputo della violazione, l’azienda non ha cercato di scoprire dove potesse aver memorizzato questo tipo di dati di carte di pagamento illecite nei suoi sistemi.
Non si è preoccupata di elaborare un piano di risposta agli incidenti. L’azienda non solo non aveva un piano di risposta alla cybersicurezza prima della violazione, ma a quanto pare non si è preoccupata di elaborarne uno dopo, e l’indagine afferma che “non ha intrapreso azioni tempestive per proteggere molti dei clienti colpiti”. Ha subito un’infezione da spyware nel suo sistema di elaborazione dei pagamenti. Come spiega l’indagine, “qualsiasi esfiltrazione dei dati delle carte di pagamento sarebbe avvenuta intercettando i dati della carta presso il punto di acquisto”. Come si può immaginare, data la mancanza di un piano di risposta agli incidenti, l’azienda non è stata successivamente in grado di dire quanto il malware che ruba i dati abbia funzionato, anche se il fatto che i dati delle carte dei clienti siano apparsi sul dark web suggerisce che gli aggressori abbiano avuto successo. Non ha detto la verità
L’azienda è stata criticata anche per la disonestà con cui ha trattato i clienti dopo aver saputo la portata dell’attacco.
Ad esempio, l’azienda:
- ha dichiarato che erano stati colpiti 6.420.000 utenti (quelli che avevano effettivamente effettuato ordini), pur sapendo che erano stati rubati 39.000.000 di record di account utente, comprese le password incautamente nascoste.
- Ha dichiarato di aver contattato questi 6,42 milioni di utenti, mentre in realtà sono stati informati solo gli utenti di Canada, Stati Uniti ed Europa.
- Ha detto ai clienti di non avere “alcuna prova che i dati della vostra carta di credito siano stati sottratti dai nostri sistemi”, nonostante due fonti avessero avvertito della violazione e avessero presentato prove che suggerivano esattamente questo.
- L’azienda, a quanto pare, ha anche trascurato di dire che sapeva di aver subito un’infezione da malware che rubava i dati e che non era stata in grado di produrre prove che l’attacco non avesse portato a nulla. Inoltre, non ha rivelato che a volte salvava consapevolmente i dati completi delle carte di credito nei log di debug (almeno 27.295 volte, in effetti), ma non ha cercato di rintracciare quei file di log illegali nei suoi sistemi per vedere dove fossero finiti o chi potesse avervi accesso.
Come se non bastasse, l’indagine ha scoperto che l’azienda non era conforme agli standard PCI DSS (i suoi log di debug anomali ne erano la prova), le è stato ordinato di sottoporsi a un’indagine forense PCI, ma si è poi rifiutata di consentire agli investigatori l’accesso necessario per svolgere il loro lavoro. Come si legge nei documenti del tribunale, “ciononostante, nell’esame limitato che ha condotto, l’investigatore forense [qualificato PCI] ha trovato diverse aree in cui i sistemi di Zoetop non erano conformi agli standard PCI DSS”.
Forse la cosa peggiore è che, quando nel giugno 2020 l’azienda ha scoperto le password del suo sito web ROMWE in vendita sul dark web, e alla fine si è resa conto che questi dati erano stati probabilmente rubati durante la violazione del 2018 che aveva già cercato di nascondere, la risposta di Zoetop, per diversi mesi, è stata quella di presentare agli utenti colpiti un prompt di login che accusava le vittime dicendo: “La sua password ha un basso livello di sicurezza e potrebbe essere a rischio. Si prega di cambiare la password di accesso”.
Questo messaggio è stato successivamente modificato in una dichiarazione diversiva che diceva: “La tua password non è stata aggiornata da più di 365 giorni. Per la sua protezione, la preghiamo di aggiornarla ora”. Solo nel dicembre 2020, dopo che una seconda tranche di password in vendita è stata trovata sul dark web, portando apparentemente la parte ROMWE della violazione a più di 7.000.000 di account, l’azienda ha ammesso ai suoi clienti di essere stata coinvolta in quello che ha blandamente definito un “incidente di sicurezza dei dati”.
Cosa fare?
Sfortunatamente, la punizione in questo caso non sembra esercitare molta pressione sulle aziende “che si preoccupano della sicurezza informatica quando si può semplicemente pagare la multa?” affinché facciano la cosa giusta, sia prima che durante o dopo un incidente di sicurezza informatica.
Le sanzioni per questo tipo di comportamento dovrebbero essere più elevate?
Finché ci saranno aziende che sembreranno trattare le multe semplicemente come un costo aziendale da inserire in anticipo nel bilancio, le sanzioni finanziarie sono la strada giusta da percorrere?
Oppure alle aziende che subiscono violazioni di questo tipo, che cercano di ostacolare gli investigatori di terze parti e che poi nascondono ai loro clienti la verità completa su quanto è accaduto, dovrebbe essere semplicemente impedito di operare, per amore o per denaro?
Multilingua
Aggiornamento Galaxy A55 Migliora la Connettività 4G TDD in Europa
Tempo di lettura: 2 minuti. Scopri l’ultimo aggiornamento per il Samsung Galaxy A55 in Europa, che migliora la connettività 4G TDD
Samsung ha recentemente rilasciato un aggiornamento software per il Galaxy A55 in Europa, migliorando specificamente il supporto per la rete 4G Time Division Duplexing (TDD). Questo aggiornamento segue una serie di miglioramenti simili applicati ad altri dispositivi della gamma Galaxy, mirando a ottimizzare l’esperienza di connettività mobile degli utenti.
Dettagli dell’aggiornamento
L’aggiornamento, identificato con il numero di firmware A556BXXU1AXC4, è stato distribuito per la variante internazionale del Galaxy A55 con numero di modello SM-A556B. La nota di rilascio specifica un aggiornamento nel supporto delle bande LTE TDD regionali, sebbene non siano stati forniti dettagli specifici su come ciò influenzerà direttamente gli utenti.
Considerazioni specifiche per il Mercato
È importante notare che i modelli acquistati in Germania non potranno ricevere segnali nelle bande LTE TDD nei seguenti paesi: Belgio, Danimarca, Germania, Francia, Lussemburgo, Paesi Bassi, Austria, Polonia, Svizzera e Repubblica Ceca. Questa limitazione sottolinea l’importanza di considerare le specifiche regionali quando si utilizzano dispositivi mobili in diverse aree geografiche.
Procedura per l’Aggiornamento
Gli utenti del Galaxy A55 in Europa riceveranno automaticamente una notifica dell’aggiornamento. Per chi non avesse ancora ricevuto la notifica, è possibile verificare manualmente la disponibilità dell’aggiornamento accedendo a:
Impostazioni > Aggiornamento software > Scarica e installa.
Con l’introduzione di questo aggiornamento, Samsung continua a dimostrare il suo impegno nel migliorare continuamente l’esperienza degli utenti e la funzionalità dei suoi dispositivi mobili attraverso aggiornamenti software mirati e gli utenti del Galaxy A55, scoprilo su Amazon, in Europa beneficeranno di una migliore capacità di connessione 4G, essenziale per sfruttare al meglio le reti mobili avanzate.
Multilingua
Fedora Linux 40 ufficiale: novità inclusive del Kernel Linux 6.8
Tempo di lettura: 2 minuti. Scopri Fedora Linux 40, ora disponibile con il kernel Linux 6.8 e gli ambienti desktop GNOME 46 e KDE Plasma 6
Fedora Project ha annunciato il rilascio di Fedora Linux 40, l’ultima versione del popolare sistema operativo basato su Linux, che porta con sé aggiornamenti significativi e nuove tecnologie. Questa release è alimentata dal kernel Linux 6.8 e include l’ambiente desktop GNOME 46 per la workstation e KDE Plasma 6 per la spin KDE.
Principali aggiornamenti e caratteristiche:
- Kernel Linux 6.8: Fedora 40 è basato sull’ultima serie del kernel Linux, che fornisce miglioramenti nella performance e nella sicurezza.
- Ambienti Desktop: GNOME 46 introduce nuove funzionalità e miglioramenti nell’usabilità, mentre KDE Plasma 6 ora utilizza Wayland per default, con la sessione X11 rimossa.
- Miglioramenti alla Rete: Il rilevamento dei conflitti degli indirizzi IPv4 è ora abilitato di default. Il NetworkManager assegna MAC address stabili in modalità predefinita per le connessioni Wi-Fi.
- Sicurezza Rafforzata: Sono state abilitate funzionalità di hardening del servizio systemd per i servizi di sistema predefiniti.
Modifiche al Gestore dei Pacchetti
Fedora 40 apporta cambiamenti significativi nella gestione dei pacchetti, come l’eliminazione degli RPM Delta e la disabilitazione del supporto in DNF / DNF5 per impostazione predefinita. Tuttavia, l’atteso gestore di pacchetti DNF5 non è incluso in questa release.
Framework Machine Learning
È ora più facile installare il framework di machine learning open-source PyTorch con il comando sudo dnf install python3-torch
, anche se attualmente supporta solo l’elaborazione su CPU.
Altre Caratteristiche Tecniche
Fedora 40 viene fornito con un completo aggiornamento del toolchain GNU, inclusi GCC 14.0, GNU Binutils 2.41, e altri. Supporta anche l’ultima release del software AMD ROCm 6.0, ottimizzata per l’IA e le prestazioni dei carichi di lavoro HPC, che ora supporta le GPU datacenter AMD Instinct MI300A e MI300X.
Fedora Spins e Fedora Atomic Desktops
Le spins di Fedora, come Fedora Cinnamon che ora include Cinnamon 6.0, continuano a evolversi. Fedora Silverblue e Fedora Kinoite utilizzano ora bootupd per la gestione degli aggiornamenti del bootloader, raggruppate sotto il nuovo ombrello di Fedora Atomic Desktops, che comprende anche Sway Atomic e Budgie Atomic.
Fedora Linux 40 segna un importante passo avanti nell’evoluzione di Fedora come una delle distribuzioni Linux più all’avanguardia, mantenendo il suo impegno verso l’innovazione e la sicurezza. Disponibile per l’installazione su piattaforme amd64 e AArch64, questa release è ideale per nuove installazioni o per l’aggiornamento da Fedora 39, scaricala qui.
Multilingua
Meta licenzia Horizon OS per estendere il suo ecosistema VR
Tempo di lettura: 3 minuti. Meta inizia a licenziare Horizon OS a produttori come Lenovo e Asus, sfidando Apple nel mercato degli headset VR/AR con un ecosistema aperto simile a Android.
Meta ha intrapreso un importante passo avanti nel panorama della realtà virtuale (VR) e aumentata (AR), iniziando a licenziare il suo sistema operativo Horizon OS a produttori di hardware come Lenovo e Asus. Questa mossa segna un punto di svolta nell’ambito degli headset VR/AR, posizionando Meta in diretta competizione con Apple e il suo Vision Pro.
Dettagli della licenza e collaborazioni
Horizon OS, noto per integrare il livello sociale di Horizon, una piattaforma open-world che combina elementi di Roblox e The Sims, viene ora offerto a partner esterni, iniziando con Lenovo e Asus. Questo sistema operativo è parte della strategia di Meta per creare un ecosistema aperto che rivaluta la struttura chiusa tipica di Apple. L’inclusione di Horizon OS in dispositivi di terze parti estenderà la portata della rete sociale di Horizon, che Meta intende monetizzare attraverso pubblicità e commercio.
Funzionalità e potenziale di Horizon OS
Con Horizon OS, Meta non solo mira a diffondere la propria piattaforma social VR, ma anche a innovare l’ambito dell’interattività digitale. Il sistema operativo è progettato per supportare applicazioni immersive, migliorando significativamente l’esperienza utente nei dispositivi VR e AR. Meta ha inoltre invitato Google a integrare il Play Store in Horizon OS, ampliando così le possibilità di app e servizi disponibili.
Impatto sul Mercato e concorrenza
La decisione di licenziare Horizon OS rappresenta un chiaro tentativo di Meta di posizionarsi come l’alternativa Android nel confronto con Apple nel settore degli headset AR/VR. Questo approccio è simile a come Microsoft ha costruito il mercato dei PC all’inizio attraverso la licenza di Windows, e rappresenta un significativo cambio di strategia rispetto ai tentativi precedenti di dominare il mercato VR con piattaforme chiuse.
Con l’introduzione di Horizon OS a partner esterni, Meta sta cercando di costruire un “ecosistema aperto” per la prossima generazione di computing, che comprende la realtà virtuale e aumentata nel metaverso. Questa strategia non solo sfida il modello di business di Apple, ma potrebbe anche ridefinire il futuro del computing immersivo e interattivo.
Microsoft e Meta collaborano per un’Edizione limitata di Meta Quest Ispirata a Xbox
Microsoft si è unita a Meta per lanciare una versione limitata dell’headset VR Meta Quest ispirata a Xbox. Questa iniziativa rappresenta un’interessante collaborazione tra due giganti tecnologici, mirando a combinare l’esperienza di gioco Xbox con le avanzate capacità di realtà virtuale di Meta Quest.
Dettagli della collaborazione
Il nuovo headset VR sarà sostanzialmente una versione personalizzata del Meta Quest 3 (o di un futuro modello non ancora annunciato), che verrà venduto in bundle con un controller Xbox. Questa edizione speciale non solo riflette il design e l’estetica di Xbox, ma è anche progettata per offrire un’esperienza di gioco VR ottimizzata per gli appassionati della console di Microsoft.
Caratteristiche e Offerte Speciali
Come annunciato da Mark Zuckerberg, CEO di Meta, su Instagram, questa versione speciale dell’headset arriverà pre-configurata con controller Xbox e un abbonamento a Xbox Game Pass. Ciò permetterà agli utenti di iniziare immediatamente a giocare su un “grande schermo virtuale” ovunque si trovino, sfruttando la vasta libreria di giochi disponibili su Game Pass.
Storia di Microsoft e la VR
Microsoft ha avuto una storia altalenante con gli headset VR, in particolare con la piattaforma Xbox. Progetti iniziali come le Kinect Glasses, che non hanno mai visto la luce, e la Xbox One X, originariamente pensata per supportare la VR, non hanno mai pienamente realizzato il potenziale della realtà virtuale su Xbox. Tuttavia, la recente collaborazione con Meta segna un cambiamento di strategia, focalizzandosi su una partnership esterna per esplorare le opportunità della VR.
Impatto e prospettive future
Questa collaborazione tra Microsoft e Meta non solo rafforza la presenza di entrambe le aziende nel crescente mercato della realtà virtuale, ma apre anche nuove possibilità per l’integrazione di servizi di gaming e produttività in ambienti immersivi. Gli utenti di Quest possono già utilizzare applicazioni Microsoft come Word, Excel e PowerPoint in VR, e l’aggiunta di Xbox Cloud Gaming all’ecosistema VR di Meta l’anno scorso ha ulteriormente consolidato questa sinergia. L’edizione limitata del Meta Quest ispirata a Xbox rappresenta un passo avanti significativo nella fusione tra gaming e realtà virtuale. Con il supporto continuato di giochi e applicazioni, questa collaborazione promette di trasformare ulteriormente il modo in cui i consumatori interagiscono con i loro giochi e contenuti preferiti.
- Notizie2 settimane fa
Australia ed USA arresti contro sviluppatori RAT Hive – Firebird
- Cyber Security2 settimane fa
Dove studiare Sicurezza Informatica in Italia: Guida alle migliori opzioni
- Inchieste2 settimane fa
Banca Sella: il problema che i detrattori del Piracy Shield non dicono
- Notizie2 settimane fa
Intensificazione delle operazioni di influenza digitale da parte di Cina e Corea del Nord
- Notizie2 settimane fa
LightSpy: APT41 minaccia Utenti iPhone in Asia
- Notizie1 settimana fa
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
- Notizie1 settimana fa
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
- Cyber Security2 settimane fa
Come Nominare il Responsabile per la Transizione Digitale e Costituire l’Ufficio per la Transizione Digitale